10 Conseils de Protection de La Vie Privée

8/11/2019 10 Conseils de Protection de La Vie Prive

1/3

__________________________________________________________________________________________________________30, rue Victoria, 1ertage, Gatineau (Qubec) K1A 1H3 Sans frais : 1-800-282-1376 Tlcopieur : (819) 994-5424 ATS : (819) 994-6591

www.priv.gc.ca Suivez-nous sur Twitter : @priveeprivacy1

Dix conseils pour rduire lerisque datteinte la vie prive

Les atteintes la vie prive sont devenues monnaie courante au Canada. En effet, il est rare quil se passe une

semaine sans quune atteinte soit signale par une entreprise ou par une source externe, comme un blogueur

spcialis dans les questions de scurit. Outre les rpercussions pour les personnes touches par ces

incidents, les atteintes peuvent avoir des consquences importantes et long terme pour les organisations,

notamment en raison de la diminution de la confiance des consommateurs.

Le prsent document sappuie sur les efforts dploys par le Commissariat la protection de la vie prive pour

venir en aide aux organisations qui ont subi des atteintes. Il vise donner aux organisations des

renseignements sur certaines tapes cruciales suivre afin de rduire la probabilit datteinte touchant lesrenseignements personnels de leurs clients.

Sachez quelles menaces vous vous exposez

1. Prenez connaissance des renseignements personnels dont vous disposez, de lendroit o ils se trouvent et

de ce que vous faites avec ceux-ci.Les inventaires des donnes et les descriptions des processus aident

connatre les renseignements personnels que vous devez protger, ainsi que le moment et lendroit o vous

devez les protger. Quand et dans quels contextes recueillez-vous des renseignements personnels? O cette

information est-elle achemine? Quelles personnes peuvent y accder et que font-elles avec celle-ci? Vous

devez connatre vos donnes pour pouvoir les protger!

2. Prenez connaissance de vos vulnrabilits.Ralisez des valuations du risque et de la vulnrabilit et/ou

des essais de pntration au sein de votre organisation, afin de cerner les menaces pour la vie prive. Ne vous

concentrez pas uniquement sur les vulnrabilits techniques. Est-ce que des tiers recueillent des

renseignements personnels pour votre compte sans que des mesures de scurit adquates aient t mises

en place? Est-ce que vous utilisez des formulaires de demande papier, qui sont transfrs un lieu central (en

cas de perte, vous naurez aucune faon de dterminer quelles personnes sont touches et encore moins de

les aviser)? Si vous mettez niveau vos systmes, est-ce que les anciens systmes et bases de donnes

demeurent actifs, sans surveillance et avec des failles non corriges? Le Commissariat a observ des atteintes

dcoulant de chacun de ces scnarios. Dterminez quels sont les points faibles de votre organisation avantquune atteinte ne le fasse pour vous!

3. Connaissez votre industrie.Soyez au courant des atteintes qui ont frapp votre industrie. Les pirates

utilisent souvent les mmes tactiques pour attaquer plusieurs organisations. Portez attention aux alertes et

aux autres renseignements transmis par votre association industrielle. Peu importe votre source dinformation

concernant votre secteur dactivit, ne soyez pas la prochaine cible vulnrable aux atteintes!
http://www.priv.gc.ca/http://www.priv.gc.ca/http://www.priv.gc.ca/


2/3



Ne songez pas uniquement aux pirates

4. Cryptez les ordinateurs portatifs, les cls USB et les autres dispositifs portatifs.Les organisations se

concentrent souvent sur les atteintes la vie prive provoques par des pirates, mais, ce faisant, elles ne

tiennent pas compte dautres menaces importantes. Le Commissariat a observ que possiblement le type le

plus courant datteinte pouvant tre prvenu dcoule de la perte ou du vol dordinateurs portatifs, de cls

USB et dautres dispositifs portatifs non crypts. Dans bon nombre de ces incidents, lutilisation dun cryptagesuffisamment solide aurait pu transformer une atteinte la vie prive qui a fait la une des mdias en un

problme mineur.

5. Limitez les renseignements personnels que vous recueillez, ainsi que ceux que vous conservez.Vous devez

savoir pour quelle raison vous recueillez chaque renseignement personnel et aussi pourquoi vous les

conservez. Dans la mesure du possible, ne recueillez pas de renseignements personnels. Par exemple, il nest

habituellement pas ncessaire de prendre en note le numro inscrit sur la carte didentit dune personne

pour confirmer son identit; il suffit seulement dy jeter un coup doeil attentif. En outre, si des

renseignements personnels ne sont recueillis qu des fins limites, liminez-les en toute scurit une fois

quils ont t utiliss ces fins. Noubliez pas : vous ne pouvez pas perdre quelque chose que vous navez pas!

6. Ne ngligez pas ltape de la fin de vie des renseignements personnels.Vous devez protger les

renseignements personnels pendant toute la dure de leur cycle de vie, y compris la toute fin de celui-ci,

mme sil sagit dune tape qui est souvent nglige. Dfinissez clairement vos politiques et vos procdures

en ce qui a trait la destruction scuritaire des renseignements personnels et veillez ce quelles soient

respectes1. Le Commissariat a observ des cas datteinte dcoulant dune situation o des documents

avaient t laisss sur place lors dun dmnagement ou mis au rebut, ou encore du fait que des

renseignements navaient pas correctement t supprims des appareils lectroniques mis au rebut ou

envoys au recyclage. Tel un hros de film daction, les renseignements personnels sont tenaces : souvent, ils

survivent et rapparaissent si le processus de destruction nest pas men bien comme il se doit.

7. Formez vos employs.Les politiques ne sont efficaces que si les personnes responsables de leur mise en

uvre et de leur respect sont au courant de leur contenu, de leur raison dtre et des consquences

applicables sils ne sacquittent pas de leurs responsabilits. Vous devriez avoir des programmes permanents

de formation sur la vie prive et la scurit qui vont bien au-del dexercices consistant cocher des cases. Les

employs qui comprennent bien leurs rles et leurs responsabilits quant la protection des renseignements

personnels sont sans doute une des meilleures dfenses dune organisation contre les atteintes la vie prive.

8. Restreignez et surveillez laccs aux renseignements personnels.Les employs ne devraient avoir accs

quaux renseignements personnels quils ont besoin de connatre, surtout si ces renseignements sont de

nature dlicate. Cela vous aidera vous assurer quils ne soient pas la cause, accidentellement ou

intentionnellement, dune atteinte la vie prive. En outre, des registres daccs faisant lobjet dune

surveillance peuvent permettre de reprer les comportements inusits et peut-tre de dcouvrir lexistence

dune atteinte avant quelle nait fait trop de dommages, voir avant mme quelle ne survienne. Nimposez pas

vos employs un fardeau dinformation suprieur ce dont ils ont besoin pour faire leur travail.
http://www.priv.gc.ca/http://www.priv.gc.ca/http://www.priv.gc.ca/


3/3



Mais noubliez pas non plus les pirates!

9. Munissez-vous de logiciels et de mesures de protection, et tenez-les jour.Cest le b.a.-ba de la scurit :

si vous ne vous protgez pas contre les vulnrabilits connues, vous augmentez le risque dune atteinte.

Mettez en place des processus systmatiques et tays afin que les correctifs lis la scurit soient appliqus

au bon moment et que les logiciels qui ne sont plus utiliss soient supprims de votre systme. En outre,

veillez ce que les dfinitions des virus et des maliciels associes vos logiciels antivirus et antimaliciels soient jour en autorisant des mises jour priodiques. Soyez la fine pointe de la technologie, linstar de vos

agresseurs.

10. Installez des systmes de dtection et de prvention des intrusions, et surveillez-les. Une organisation

doit dabord prvenir les intrusions et doit donc se munir de systmes pour ce faire. Toutefois, mme si vous

avez les meilleures protections possibles, votre systme peut faire lobjet dune atteinte. Les systmes de

dtection des intrusions, les pare-feux et les registres de vrification peuvent vous permettre de reprer les

atteintes la vie prive et dy ragir avant quelles ne dgnrent, mais vous devez tre attentif aux messages

quils vous transmettent. Veillez ce que les mesures de protection visant surveiller les activits du rseau

ou du systme soient correctement mises en uvre et soient surveilles de manire proactive. Ne vous fiezpas uniquement aux mesures que vous avez mises en place lentre. Vous devez savoir ce qui se produit

lintrieur de vos murs.

Le Commissariat la protection de la vie prive du Canada est l pour vous aider. Si vous avez des questions,

nhsitez pas nous appeler au 1-800-282-1376. Pour de plus amples renseignements sur le signalement

dune atteinte ou la rponse celle-ci ainsi, que sur les mesures que prend le Commissariat lorsquil est mis au

courant dune atteinte, visitez notre page Web sur les ressources relatives aux atteintes la vie prive

ladresse suivante :www.priv.gc.ca/resource/pb-avp/pb-avp_intro_f.asp.

1Veuillez consulter notre document dorientation sur la conservation et le retrait des renseignements

personnels http://www.priv.gc.ca/information/pub/gd_rd_201406_f.asp
http://www.priv.gc.ca/http://www.priv.gc.ca/http://www.priv.gc.ca/resource/pb-avp/pb-avp_intro_f.asphttp://www.priv.gc.ca/resource/pb-avp/pb-avp_intro_f.asphttp://www.priv.gc.ca/resource/pb-avp/pb-avp_intro_f.asphttp://www.priv.gc.ca/information/pub/gd_rd_201406_f.asphttp://www.priv.gc.ca/information/pub/gd_rd_201406_f.asphttp://www.priv.gc.ca/information/pub/gd_rd_201406_f.asphttp://www.priv.gc.ca/resource/pb-avp/pb-avp_intro_f.asphttp://www.priv.gc.ca/

Documents

10 Conseils de Protection de La Vie Privée